Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在路由设备上的 VPNv2 中配置组 VPN

注意:

VPNv2 组是 MX5、MX10、MX40、MX80、MX104、MX240、MX480 和 MX960 路由器上的组 VPN 技术的名称。VPNv2 组不同于在 SRX 安全网关上实施的组 VPN 技术。本文中有时使用“组 VPN”一词来指代常规技术,而非 SRX 技术。

此示例说明如何在 VPNv2 组中配置组 VPN,以扩展 IP 安全 (IPsec) 架构,以支持由一组路由器共享的组安全关联 (GSA)。

要求

此示例使用以下硬件和软件组件:

  • 两个带有 MS-MIC-16G 或 MS-MPC-PIC 线卡的 MX 系列 5G 通用路由平台

  • 一个或多个 Cisco 组控制器或关键服务器 (GC/KS) 可访问性

  • 在 MX 系列路由器上运行的 Junos OS 14.1 或更高版本

开始之前:

  1. 配置路由器以实现网络通信。

  2. 配置 Cisco GC/KS。

  3. 配置组成员设备接口。

概述

从 Junos OS 14.1 版开始,具有 MS-MIC-16G 和 MS-MPC-PIC 线卡的 MX 系列路由器可通过一个或多个 Cisco 组控制器或密钥服务器 (GC/KS) 提供组 VPNv2 成员功能支持。组成员最多可以连接到四个 Cisco GC/KS,与合作服务器的互操作性最低。

此功能还提供针对 VPNv2 组功能的系统日志记录支持,以及针对控制和数据流量的路由实例支持。

拓扑

图 1 中,在 Cisco 组服务器 GC/KS 和两个组成员(GM1 和 GM2)之间配置了组 VPN。组成员连接到主机设备。

图 2 中,在 GM1 和 GM2 之间配置了组 VPN,GC/KS1 和 GC/KS2 分别是主组和辅助组服务器。

图 1:使用单个 GC/KS Group VPN with Single GC/KS 的 VPN 组
图 2:对具有多个 GC/KS Group VPN with Multiple GC/KS 的 VPN 进行分组

配置

使用单个 GC/KS 配置组 VPNv2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后 commit 进行配置。

GM1

GM2

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置 GM1:

  1. 配置路由器 GM1 接口。

  2. 配置静态路由以到达组服务器和成员 2。

  3. 定义 IKE 提议。

  4. 为 ike 提议配置第 1 阶段 SA。

  5. 定义 IKE 策略。

  6. 为 gw-group1 设置远程网关。

  7. 为 gw-group1 配置组标识符和 IKE 网关。

  8. 为 gw 组 1 配置服务集。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow securityshow services 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

GM1

使用多个 GC/KS 配置组 VPNv2

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后 commit 进行配置。

GM1

GM2

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置 GM1:

  1. 配置路由器 GM1 接口。

  2. 配置静态路由以到达组服务器和成员 2。

  3. 定义 IKE 提议。

  4. 为 ike 提议配置第 1 阶段 SA。

  5. 定义 IKE 策略。

  6. 为 gw-group1 设置远程网关。

  7. 为 gw-group1 配置组标识符和 IKE 网关。

  8. 为 gw 组 1 配置服务集。

结果

在配置模式下,输入 show interfacesshow routing-optionsshow securityshow services 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

GM1

验证

确认配置工作正常。

验证组成员 IKE SA

目的

验证路由器 GM1 上的 IKE SA。

行动

在操作模式下,运行 show security group-vpn member ike security-associations detail 命令。

意义

路由器 GM1 已使用组的 GC/KS 建立了 IKE SA。

验证组成员 IPsec SA

目的

验证路由器 GM1 上的 IPsec SA。

行动

在操作模式下,运行 show security group-vpn member ipsec security-associations detail 命令。

意义

路由器 GM1 已使用 GC/KS 建立 IPsec SA。

验证组成员 IPsec 统计信息

目的

验证路由器 GM1 上的 IPsec 统计信息。

行动

在操作模式下,运行 show security group-vpn member ipsec statistics 命令。

意义

ESP Statistics 显示数据包流已在组成员之间加密和解密。路由器 GM1 已加密 3 个数据包,并收到了来自路由器 GM2 的 3 个解密数据包。

故障 排除

要对 VPNv2 组配置进行故障排除,请参阅:

协商 IKE SA

问题

不会对组成员触发 IKE SA 协商。

show security group-vpn member ike security-associations 命令的show ike输出不显示 IKE 协商。

解决 方案

要排除 IKE 协商问题:

  1. 检查服务接口状态是否正常运行。

    用于 show interfaces terse | match ms 检查 MS 接口是否关闭。当 PIC 重新启动时,MS 接口关闭。

  2. 在日志文件/var/log/gkmd中查找Ignore gvpn vpn_name since it is inactive

    检查配置中的任何服务集是否引用了组 VPN。

    1. 启用 security group-vpn member ike traceoptions

    2. 在追踪日志文件中查找以下系统日志消息:

      • Dec 2 16:09:54 GVPN:iked_pm_gvpn_trigger called for gvpn200

      • Dec 2 16:09:54 GVPN:PM NULL for gvpn gvpn200

      • Dec 2 16:09:54 GVPN:Ignore gvpn gvpn200 since it is inactive

这意味着服务集处于非活动状态或服务接口关闭

建立 IKE SA

问题

IKE SA 尚未通过 GC/KS 建立。

在这种情况下,命令输出中的 show security group-vpn member ike security-associations IKE SA 状态为关闭:

解决 方案

要对 IKE SA 问题进行故障排除:

  1. 检查下 [edit security group-vpn member ike gateway] 配置的服务器地址是否正确且可访问。

  2. ping 远程设备之间使用命令检查网络连接。

  3. 检查配置中的 group-vpn 本地地址是否也是配置中的任何物理接口上的配置地址。

  4. 检查组成员与 GC/KS 之间的 IKE 提议是否匹配。

    如果 IKE SA 协商配置错误,请执行以下操作:

    1. 启用 security group-vpn member ike traceoption

    2. 在跟踪日志文件中查找以下消息: Dec 2 15:39:54 ikev2_fb_negotiation_done_isakmp: Entered IKE error code No proposal chosen (14), IKE SA 8dd7000 (neg 8dda800)

  5. 在日志文件/var/log/gkmd中查找No proposal chosen错误。

下载 GDOI IPsec SA

问题

GDOI IPsec SA 不会从 GC/KS 下载。

在这种情况下,配置了 GC/KS 的 GDOI groupkey-pull 会失败, show security group-vpn member ipsec sa 命令输出不会显示任何内容。

解决 方案

要排除 GDOI IPsec SA 问题:

  1. 检查是否已使用 GC/KS 建立 IKE SA。

  2. 检查在 GC/KS 上配置的组 ID 是否与组成员匹配。

  3. 在日志文件 /var/log/gkmd中查找任何组 SA 安装失败或其他故障。

    请查找以下系统日志消息以确认使用不受支持的 GDOI SA 算法:

    • Dec 2 15:32:49 simpleman gkmd[1701]: Failed to install SA because of unsupported algo(encr: 3des-cbc, auth : (null)) for SPI 0x6645cdb5 from server 192.0.2.1

    • Dec 2 15:32:49 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason SA unusable

    请查找以下系统日志消息以确认使用了不受支持的 GDOI 策略:

    • Dec 2 15:34:34 simpleman gkmd[1701]: Failed to install SA because of too many(2) policies for SPI 0x6951550c from server 192.0.2.1

    • Dec 2 15:34:34 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason SA unusable

流量加密和解密

问题

CLI 将显示 IPsec SA 已安装,但流量不会通过 SA。

在这种情况下,与从服务器接收的规则匹配的流量无法进行加密或解密。命令 show security group-vpn member ipsec statistics 输出显示加密和解密数据包计数的零值。

解决 方案

在 CLI 输出的错误部分中查找 Rule lookup failures 计数器。

系统日志消息故障排除

问题

系统会生成系统日志消息,以记录不同的组 VPNv2 事件。

解决 方案

要解释系统日志消息,请参阅以下内容:

  • Dec 2 15:29:10 simpleman gkmd[1701]: Member registration succeeded with key server 192.0.2.1 for group vpn gvpn200-GDOI 拉取成功。

  • Dec 2 15:21:18 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason Timed out-GDOI 拉取失败。

  • Dec 2 15:34:34 simpleman gkmd[1701]: Failed to install SA because of too many(2) policies for SPI 0x6951550c from server 192.0.2.1-GDOI SA 安装失败,因为策略太多。

  • Dec 2 15:21:18 simpleman gkmd[1701]: Server 192.0.2.1 is unreachable for group vpn gvpn200-单个 GC/KS 失败(非 COOP)。

  • Dec 2 15:51:49 simpleman gkmd[1701]: Current key server 192.0.2.1 is unreachable and will try registering with next Key Server 192.1.1.2 for group vpn gvpn200—特定 GC/KS 不响应 (COOP)。

  • Dec 2 15:56:24 simpleman gkmd[1701]: All servers are unreachable for group vpn gvpn200—GC/KS 均未响应 (COOP)。

  • Dec 2 16:01:43 simpleman gkmd[1701]: Member re-registering with Key Server 192.0.2.1 for group-vpn gvpn200— 成员在 GC/KS 中重新注册。

  • Dec 2 16:01:43 simpleman gkmd[1701]: Creating TEK with SPI 0xb35200ac tunnel_id 10001 for group vpn gvpn200-GDOI SA TEK 创建成功。

  • Dec 2 16:29:01 simpleman gkmd[1701]: Deleting TEK with SPI 0x6dba2a76 tunnel_id 10001 for group vpn gvpn200 and reason cleared from CLI-GDOI SA TEK 销毁成功是有道理的。

    GDOI SA TEK 销毁的不同原因如下:

    • 已从 CLI 中清除

    • 硬生存期已过期

    • TEK 太多

    • 配置更改

    • SA 安装错误

    • SA 陈旧

    • 接口关闭